linux系统自动化安装和selinux

系统自动化安装:
 Anaconda 安装系统分成三个阶段:
  安装前配置阶段
安装过程使用的语言
键盘类型
安装目标存储设备
Basic Storage :本地磁盘
特殊设备:iSCSI
设定主机名
配置网络接口
时区
管理员密码x
设定分区方式及MBR 的安装位置
创建一个普通用户
选定要安装的程序包

创建引导光盘:
#cp /media/cdrom/isolinux/ /tmp/myiso/
#vi /tmp/myiso/isolinux/isolinux.cfg
initrd=initrd.img text ks=cdrom:/myks.cfg
#cp /root/myks.cfg /tmp/myiso/
#cd /tmp
# mkisofs -R -J -T -v –no-emul-boot –boot-load-size 4 –boot-info-table -V “CentOS 6.8 x86_64 boot” -b isolinux/isolinux.bin -c isolinux/boot.cat -o /root/boot.iso myiso/              

  #直接使用此光碟引导自动安装

    装完后建议转换混合模式:安装包syslinux      执行命令:isohybrid   boot.iso

需要准备好应答文件,制作方法基本差不多,可以使用现成的,也可以自己制作创建U 盘启动盘
#dd if=/dev/sr0 of=/dev/sdb

selinux介绍:
Linux 的一个强制访问控制的安全模块。2000年以GNU GPL 发布,
Linux内核2.6版本后集成在内核中

DAC :Discretionary Access Control 自由访问控制
MAC :Mandatory Access Control  强制访问控制
• DAC 环境下进程是无束缚的
• MAC 环境下策略的规则决定控制的严格程度
• MAC 环境下进程可以被限制的
• 策略被用来定义被限制的进程能够使用那些资源(文件和端口)
• 默认情况下,没有被明确允许的行为将被拒绝

SELinux 有四种工作类型:
 strict: centos5, 每个进程都受到selinux 的控制
 targeted:  用来保护常见的网络服务, 仅有限进程受到selinux 
    控制,只监控容易被入侵的进程,centos4 只保护13个服务,centos5 保护88 个服务
 minimum :centos7, 修改的targeted ,只对选择的网络服务
 mls: 提供MLS (多级安全)机制的安全性
 targeted 为默认类型,minimum 和mls 稳定性不足,未加以应用,strict

传统Linux,一切皆文件,由用户,组,权限控制访问在SELinux中,一切皆对象( object)
           由存放在inode的扩展属性域的安全元素所控制其访问
           所有文件和端口资源和进程都具备安全标签: 
            安全上下文(security context)
 安全上下文有五个元素组成:
 user:role:type:sensitivity:category
 user_u:object_r:tmp_t:s0:c0
 实际上下文:存放在文件系统中,ls –Z;ps –Z
 期望( 默认)上下文存放在二进制的SELinux 策略库(映射目录和期望安全上下文)中
   semanage fcontext –l

selinu文件标签,cp 继承目标目录context
                mv 保留原有context(标签)

 Semanage :来自policycoreutils-python包 包
  查看默认的安全上下文
semanage fcontext –l
  添加安全上下文
semanage fcontext -a –t httpd_sys_content_t
‘/testdir(/.)?’
restorecon –Rv /testdir
  删除安全上下文
semanage fcontext -d –t httpd_sys_content_t
‘/testdir(/.
)?’

查看端口标签
semanage port –l
  添加端口
semanage port -a -t  port_label -p  tcp|udp PORT
semanage port -a -t http_port_t -p tcp 9527
  删除端口
semanage port -d -t  port_label -p  tcp|udp PORT
semanage port -d -t http_port_t -p tcp 9527
  修改现有端口为新标签
semanage port -m -t  port_label -p  tcp|udp PORT
semanage port -m -t http_port_t -p tcp 9527

selinux布尔值:
布尔型规则:
getsebool
setsebool
  查看bool 命令:
getsebool [-a] [boolean]
semanage boolean –l
semanage boolean -l –C  查看修改过的布尔值
  设置bool 值命令:
setsebool [-P] boolean value (on,off) )
setsebool [-P] Boolean=value (0 ,1)

原创文章,作者:shewei,如若转载,请注明出处:http://www.178linux.com/72628

(0)
sheweishewei
上一篇 2017-04-05
下一篇 2017-04-06

相关推荐

  • shell编程之函数

    函数:函数function是由若干条shell命令组成的语句块,实现代码 重用和模块化编程      1)函数的定义: 可在 命令行,脚本的一部分,只有函数的单独文件 中定义        两部分组成:函数名和函数体;函…

    Linux干货 2016-08-21
  • 马哥教育网络班21期-第四周课程练习

    1、复制/etc/skel目录为/home/tuser1,要求/home/tuser1及其内部文件的属组和其它用户均没有任何访问权限。 cp -a /etc/skel/ /home/tuser1 chmod -R 700 /home/tuser1/  2、编辑/etc/group文件,添加组hadoop。 echo "hadoop:x:2…

    Linux干货 2016-08-05
  • rsync+inotify实现数据同步——双向传输

    实验环境:<仅2台主机之间进行数据双向传输> A主机:10.1.43.102 B主机:10.1.43.103 一、数据从A推向B 配置流程 先在B主机上配置: 1.vi /etc/rsyncd.conf(用户,目录,模块,虚拟用户及密码文件) uid = root gid = root port …

    Linux干货 2016-10-27
  • 密码保护:第二天

    无法提供摘要。这是一篇受保护的文章。

    Linux干货 2017-07-15
  • 进程管理

    进程管理 内核的功用:进程管理、文件系统、网络功能、内存管理、驱动程序、安全功能 用户模式(空间),内核模式(空间) Process(进程):运行中的程序的一个副本         存在生命周期 task struct:内核的结构体 Linux内内核存储进程信息的固定格式:tas…

    Linux干货 2016-09-10
  • VIM编辑器入门

    VIM简介 VIM是一个类似于Vi的著名的功能强大、高度可定制的文本编辑器,在Vi的基础上改进和增加了很多特性。VIM是纯粹的自由软件。 VIM的使用 在介绍基本使用前,先了解下VIM的基本模式 基本模式可分为三种:命令模式、输入模式、末行模式 命令模式:Vim启动后的默认模式,通过输入指令完成对应的编辑操作。输入模式和末行模式从命令模式进入&nb…

    Linux干货 2016-04-05